Lineaje’ye göre, yazılım tedarik zincirine yönelik görünürlük eksikliği, yazılım ve BT sistemlerindeki güvenlik açıklarını ve zayıflıkları keşfetme konusunda sürdürülemez bir döngü yaratıyor ve bu da kuruluşları eziyor.
Açık kaynak topluluğunun çeşitliliği ve karmaşıklığı
Lineaje Data Labs, Apache Software Foundation’ın son üç sürümünde en popüler 44 projesinde yerleşik olarak bulunan 41.989 açık kaynaklı bileşeni analiz etti. Analiz, bağımlılıkların %68’inin Apache Software Foundation dışı açık kaynaklı projelerde olduğunu ortaya çıkardı.
Bu bağımlılıklar, Apache Software Foundation’ın bütünlüğünü ve içsel riskini bile yalnızca yerleştirdiği en zayıf bileşen kadar güçlü kılar. Doğrudan bağımlılıkların yalnızca %10’unu oluşturmasıyla kalan %90’lık geçişli bağımlılıklardır ve bu paketleri seçen geliştiriciler tarafından kolaylıkla görülemez. Bu, geliştiriciler için görünmez olan şeffaf olmayan ve derin bir yazılım tedarik zinciri oluşturur.
“Apache’nin açık kaynak yazılımlara büyük katkı sağlamasına rağmen, dayandığı yazılımın önemli bir kısmının Apache olmayan Yazılım Vakfı olduğunu not etmek büyüleyici. Bu, açık kaynak topluluğunun inanılmaz çeşitliliğini ve karmaşıklığını vurguluyor,” dedi VMware Ürün Güvenliği Başkanı Manish Gaur, araştırma raporunu inceledikten sonra.
Popülerliklerine göre bağımlılıkları seçme
Son derece yüksek yapısal risk – Bileşenlerin %82’si güvenlik açıkları, güvenlik sorunları, kod kalitesi veya bakım kaygıları nedeniyle doğası gereği risklidir.
Yazılımın popülaritesi kaliteyi göstermez – Bu nedenle, bağımlılıkları popülerliklerine göre seçmek, güvenilir bir risk azaltma yaklaşımı değildir. Örneğin, Apache Software Foundation’ın eChart’ları en popüler paketidir ve aynı zamanda en riskli paketlerden biridir.
Güvenlik açıklarını yamalama serabı – Kuruluşlar uygulamak zorunda oldukları bir yamalar denizinde boğulurken, araştırma tüm güvenlik açıklarının %64,2’sinde henüz bir düzeltme bulunmadığını ve dolayısıyla yamalanamayacaklarını ortaya koyuyor.
Aynı zamanda, bağımlılıkların derin geçişli doğası nedeniyle, tüm güvenlik açıklarının diğer bir %25,8’i, açık kaynaklı yazılım dağıtan veya dahil eden kuruluş tarafından düzeltilemez. Etkili bir şekilde, tam yama – başarılı olursa – bir kuruluşun güvenlik açığı maruziyetinin yalnızca yaklaşık %10’unu giderir.
Kurcalamayı algılamak, yazılım bütünlüğünü korumak için hayati önem taşır
En önemli riskin yama yapılmamış güvenlik açıklarında değil, düzeltme yapılmamış güvenlik açıklarında yattığını belirtmek çok önemlidir. Bu güvenlik açıkları, uygulanan diğer yamalardan bağımsız olarak var olmaya ve kalıcı bir tehdit oluşturmaya devam ediyor.
Yazılım tedarik zincirindeki kurcalamayı tespit etme yeteneği, yazılım bütünlüğü ile doğrudan bağlantılıdır. Lineaje Data Labs tarafından ayrıştırılan on binlerce açık kaynak projesinin sonuçları şunları gösterdi:
- Bilinmeyen bileşenler – Değerlendirilen yazılımların çoğunluğu yüksek düzeyde bütünlüğe sahip doğrulanabilir bileşenlere sahipken, araştırmamız tüm bileşenlerin yaklaşık %3’ünün bilinen bir kaynağı olmadığını ortaya koyuyor. Bunlar, Apache Software Foundation yazılımına derinlemesine gömülüdür ve kökenleri ve güncelleme mekanizmaları opaktır.
- Şüpheli kaynaklı bileşenler – Bileşenlerin %5,3’ü, geliştiriciler tarafından yayınlanan paketin ilişkili olduğu iddia edilen kaynak kodla eşleştiğine dair temel bir bütünlük kontrolünde başarısız oldu. Bu tür bir bütünlük kontrolü, hem son 3CX uzlaşmasını hem de SolarWinds uzlaşmasını işaret ederdi.
Lineaje CEO’su Javed Hasan, “Günümüzde kuruluşların, çok popüler olsa veya yerleşik bir marka tarafından sağlanmış olsa bile, açık kaynaklı yazılımların riskleri olduğunu ve değiştirilebileceğini anlamaları zorunludur” dedi.
“Yapılandan çok bir araya getirilen yazılımla, yazılım DNA’sını keşfetmek için resmi araçlara sahip olmak her zamankinden daha önemli hale geldi. Geliştiriciler, içerdikleri bir yazılım bileşeninin içini görmek için X-ray görüşüne sahip değildir ve çoğu açık kaynak seçici güvenlik uzmanı değildir. Sola kaydırmalı olarak oluşturulan bu yazılım bileşenlerinin dinamik, doğal risk ve bütünlüğünü sürekli olarak değerlendirmek için SBOM360 gibi yazılım tedarik zinciri yönetimi araçlarını kullanmalıyız,” diye sözlerini tamamladı Hasan.